CISO SlowMist: Вход с помощью WebAuthn-ключа представляет серьезную угрозу безопасности

ChainCatcher сообщает, что директор по информационной безопасности SlowMist 23pds опубликовал на платформе X сообщение о новом типе атаки на вход с помощью WebAuthn-ключей. Злоумышленник может использовать вредоносное расширение браузера или XSS-уязвимость сайта для перехвата WebAuthn API, что позволяет принудительно понизить уровень аутентификации до входа по паролю или изменить процесс регистрации ключа с целью кражи учетных данных. Для осуществления этой атаки не требуется физический доступ к устройству или использование биометрических функций.

WebAuthn — это важный стандарт веб-аутентификации, разработанный W3C и FIDO Alliance, поддерживающий аппаратные ключи, биометрическую аутентификацию и другие методы, который широко применяется для безопасного входа на сайты. Рекомендуется, чтобы соответствующие компании и пользователи своевременно обращали внимание на данный риск безопасности.